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DISPOSITIF ET PROCEDE DE TRAITEMENT 



D'UNE SEQUENCE DE PAQUETS DMNFORMATION 

La presente invention conceme les reseaux de transmission par 
paquets. Elle s'applique notamment. mais non exclusivement. aux reseaux 
5 fonctionnant selon le protocole Internet (IP). 

L'invention peut etre mise en oeuvre au niveau des interfaces 
exterieures de routeurs du reseau. pour elffectuer des analyses et des 
traitements des flux de donnees transitant par ces interfaces. 

On designe ici par fonctions de « police »• divers traitements ou 

10 controles effectues au niveau d'une telle interface sur des flux de donnees qui 
la traversent. A titre d'exemples non limitatifs, on peut citer le comptage des 
paquets echanges entre une adrespe de source et une adresse de destination 
donnees. Tattribution de priorites a certains paquets, des traductions d'adresse. 
la destruction selective de certains paquets, etc. 

15 Ces fonctions de police peuvent s'inscrire dans un cadre contractuel 
entre un abonne et un gestionnaire du reseau. Cela peut par exemple etre le 
cas de fonctions relatives au controle de debit, aux autorisations d'acces a 
certains sites relies au reseau, t a la mise en oeuvre de protocoles de 
reservation tels que RSVP Elles peuvent egalement s'inscrire dans le cadre 

20 de Torganisation interne d*un reseau public ou prive, par exemple pour 
controler certains acces. 

Les routeurs actuels offrent un jeu de commandes de configuration 
permettant d'appliquer de telles fonctions de police. On definit ainsi un filtre 
relatif a certains champs de I'en-tete des paquets pour identifier le ou les flux 

25 concernes, le filtre etant associe a une fonction particuliere operee sur les 
paquets correspondants. Ces filtres, ou "access list", presentent certaines 
rigidites. Ainsi, il n'est pas possible d'enchainer deux filtres, Tun precisant un tri 
sur les paquets selectionnes par le premier. Ces filtres sent construits sur un 
modele sequentiel : le premier filtre qui convient pour un paquet donne est 

30 retenu a rexclusion des filtres suivants qui pourraient egalement convenir, II est 
done impossible d'appliquer plusieurs regies et traitements associes a un 
meme flux (par exemple de compter tous les paquets emis selon le protocole 
TCP sur un port x et de compter tous les flux TCP vers un serveur donne, y 
compris ceux transitant vers le port x). 

35 Pour contourner certaines de ces limitations, des commandes 



effectuant piusieurs actions conjointes ont ete definies. Ces solutions' ne 
procurent qu'une souplesse relative et compliquent notablement le langage de 
configuration des routeurs. II manque egalement un cadre homogene pour 
gerer les extensions futures des fonctions de police a assurer. 

Un but de la presente invention est de prjoposer un mode de traitement 
de sequences de paquets d'information qui offre une grande souplesse de 
configuration sans augmenter de fagon significative la complexlte de I'interface 
de configuration. 

L'invention propose ainsi un dispositif de traitement d'une sequence de 
paquets d'information, comprenant une memoire de paquets, organisee en pile, 
dans laquelle les paquets de la sequence sont ranges en association avec des 
etiquettes de traitement respectives. un ensemble de modules de traitement. et 
des moyens de supervision recevant I'etiquette de traitement associee a 
chaque paquet extrait de la memoire de paquets et activant Tun des modules 
de traitement s^lectionne en fonction de I'etiquette regue, le module active 
assurant un traitement elementaire du paquet extrait. Le traitement elementaire 
assure par au moins un des modules de traitement comporte la mise en 
association du paquet extrait avec une etiquette modifiee conformement a une 
table de traduction d'etiquettes. le paquet traite etant ensuite range a nouveau 
dans la memoire de paquets en association avec I'etiquette modifiee. 

Le dispositif permet d'enchaTner des fonctions de police selon un 
graphe arbitraire de traitements elementaires agissant sur des flux de donnees 
identifies par les etiquettes de traitement. Ceci procure un cadre flexible pour 
gerer la configuration de I'interface et les eventuelles extensions de protocole. 

La performance du dispositif est independante du nombre 
d'enchamements de traitements elementaires susceptibles d'etre effectues sur 
les flux transitant par I'interface, et proportionnelle au plus complexe de ces 
enchamements. En contrepartie, la technique utilisee consomme plus de 
memoire qu'une implementation sequentielle classique. 

Un autre aspect de la presente invention se rapporte a un precede de 
traitement d'une sequence de paquets d'information. dans lequel on range les 
paquets de la sequence" dans une memoire de paquets organisee en pile, en 
association avec des etiquettes de traitement respectives. on examine 
I'etiquette de traitement associee a chaque paquet extrait de la memoire de 
paquets pour activer un module de traitement selectionn' en fonction de 
I'etiquette regue parmi un ensemble de modules de traitement. le module active 
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assurant un traitement elementaire du paquet extrait. Le traitement elementaire 
assure par au moins un des modules de traitement comporte la mise en 
association du paquet extrait avec une etiquette modifiee conformement a une 
table de traduction d'etiquettes, le paquet traite etant ensuite range a nouveau 
5 dans la memoire de paquets en association avec Tetiquette modifiee. 

D*autres particularites et a vantages \die la presente invention 
apparaTtront dans la description ci-apres d*exemples de realisation non 
limitatifs. en reference aux dessins' annexes, dans lesquels : 

- la figure 1 est un schema d'un reseau ou invention peut etre mise en 
10 oeuvre ; 

- la figure 2 est un schema synoptique d'un routeur d'acces d'une 
installation privee de ce reseau ; 

- la figure 3 est un schema synoptique d'un dispositif de traitement de 
flux faisant partie d'une interface du routeur de la figure 2 ; et 

15 - la figure 4 est un graphe de traitements elementaires assures par le 

dispositif de la figure 3. 

La figure 1 montre un reseau partage de grande etendue (WAN) 10 
comportant un certain nombre de routeurs et commutateurs interconnectes 
11,12. On considers ici !e cas ou le reseau partage 10 fonctionne selon le 

20 protocole IP. Un certain nombre des routeurs sont des routeurs de 
concentration 12 auxquels sont reliees des installations privees 13. 

Une installation privee d'abonne 13 est typiquement reliee au reseau 
partage 10 au moyen d'un routeur d'acces 15 dont Tune des interfaces 16 est 
reliee a une ligne 17 de transmission depuis et vers le routeur de concentration 

25 12. Le routeur d'acces 15 peut etre relie a d'autres routeurs de Tinstallation 
privee 13 ou a des serveurs ou terminaux 18 de cette installation, au moyen 
d'autres interfaces non representees sur la figure 1 . 

La figure 2 montre un exemple d'architecture du routeur d'acces 15. 
Uinterface exterieure 16, ainsi que les interfaces 20.21 avec le reste de 

30 installation privee 13. sont reliees au coeur du routeur consistant en un moteur 
d'acheminement de paquets 22 (« packet forwarding engine »). Le moteur 
d'acheminement 22 achemine les paquets d'une interface vers une autre sur la 
base des champs d'adresse et de port contenus dans les en-tetes des paquets 
conformement au protocol IP et a ses eventuelles extensions (TCP, UDP....), 

35 en se reportant ^ des tables de routage. 

Certaines des interfaces du routeur d'acces 15 sont pourvues, dans 
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Tun seulement ou dans les deux sens de transmission, de disposltifs de 
traitement, ou processeurs de flux, 24,25 assurant des fonctions de police. 
Dans rexemple illustratif de la figure 2, le dispositif 24 equipe Tinterface 
exterieure 16 dans le sens sortant, et le dispositif 25 equipe une autre interface 

5 20 dans le sens entrant. 

Le routeur d'acces est supervise par une unite de gestion 26 pouvant 
consister en un micro-ordinateur ou une station de travail qui execute un 
logiciel de routage servant notamment a i configurer la table de routage du 
moteur d'acheminement 22 et les processeurs de flux 24.25 et a echanger 

10 avec eux des informations de controle ou de protocole. Ces commandes et 
echanges se font par Tintermediaire d'une interface logicielle de programmation 
(API) appropriee. 

La plupart des logiciels de routage et d'acheminement de paquets 
existants sont facilement disponibles dans Fenvironnement Unix, mais leur 

15 performance est habituellement limitee a cause des interruptions frequentes du 
systeme d*exploitation. II est beaucoup plus rapide d'utiliser un systeme 
d'exploitation en temps reel tel que VxWorks, mais cela complique la mise en 
place du logiciel de routage. 

Le role des processeurs! de flux 24,25 est d'assister le systeme 

20 d'exploitation non-temps reel (tel qu'Unix), sur la base duquel fonctionne Tunite 
de gestion 26. dans les taches complexes de manipulation des flux qui 
requierent des performances en temps reel (acheminement, filtrage. 
chiffrement...). Ces processeurs mettent en oeuvre un certain nombre d'outils 
de manipulation des flux qui peuvent etre relies dynamiquement suivant toute 

25 combinaison pour effectuer la tache requise. Cette configuration peut etre 
effectuee a travers le systeme d'exploitation Unix par appel des fonctions 
d'API, ce qui facilite largement la mise en place de nouvelles fonctionnalites 
par le programmeur. 

Comme illustre schematiquement par la figure 1. I'une des taches 

30 effectuees par le processeur de flux 24 de Tinterface exterieure 16 du routeur 
d'acces 15 consiste a emettre chaque paquet vers le routeur de concentration 
12 en lui adjoignant une signature numerique (bloc 40). Cette signature atteste 
que les paquets en question ont ete soumis aux autres operations de controle 
de flux (bloc 39) effectuees par le processeur 24. 

35 Uinterface correspondante 28 du routeur de concentration 12 comporte 

un module d'analyse des paquets regus sur la ligne 17 afin de s'assurer de la 
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presence de la signature. 

Cette technique de signature permet avantageusement de 
decentraliser las operations de controle de flux necessaires aux relations 
contractuelles entre le gestionnaire du routeur de concentration 12. qui fo'umit 
5 le service de raccordement au reseau partage 10, et les abonnes dont les 
installations 13 sont reliees a ce routeur de concentration 12. Dans les 

realisations classiques. ces operations de controle de flux sont effectuees au 

j ' 

niveau du routeur de concentration. II en resulte une complexite considerable 
du routeur de concentration lorsqu'il est raccorde a d'assez nombreuses 

10 installations privees. et un nnanque de souplesse pour les abonnes lorsque des 
modifications sont requises. 

Le fait d'effectuer ces operations de controle de flux au niveau des 
routeurs d'acces 1 5 procure a cet egard une grande souplesse. La signature 
des paquets garantit alors au fournisseur de service que la ligne 17 ne lui 

15 envoie pas de paquets valides qui echapperaient au cadre contractuel avec 
Tabonne. Si un tel paquet venaiti a apparaitre, Tinterface 28 du routeur de 
concentration 12 Teliminerait simplement apres avoir constate Tabsence de la 
signature adequate. | 

Diverses methodes classiques peuvent etre utilisees pour construire et 

20 analyser la signature des paquets, sur la base d'un secret partage entre les 
routeurs 12 et 15. La signature peut notamment avoir la forme d'un mot de 
code ajoute au contenu du paquet. et calcule sur la base de tout ou partie de 
ce contenu et d'une de secrete, le calcul etant effectue a Taide d'une fonction 
extremement difficile a inverser pour recuperer la cle secrete. On peut ainsi 

25 utiliser une technique de hachage du contenu du paquet, ou d'une partie 
seulement de ce contenu. par exemple un hachage MD5 (voir R. Rivest, 
RFC 1231. « The MD5 Message Digest Algorithm »). 

On peut egalement utiliser une methode de chiffrement pour former la 
signature des paquets. Le contenu du paquet est alors chiffre a I'aide d'une de 

30 privee, Tinterface 28 du routeur de concentration assurant le dechiffrement 
correspondant a Taide d'une cle publique ou privee. Les paquets non chiffres, 
ou chiffres au moyen d'une mauvaise cle sont alors detruits au niveau de 
rinterface 28. 

En option, on peut prevoir que Tinterface 28 du routeur de 
35 concentration signe egalement les paquets qu'elle emet sur la ligne 17. et que 
interface 16 du routeur d'acces verifie cette signature pour s'assurer de la 
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validite des paquets regus. 

La figure 3 montre I'organisation d'un processeur de flux 24 ou 25 
d'une interface du routeur d'acces 15. 

Le processeur de flux re^cit une sequence de paquets entrants 30 
5 comportant chacun un en-tete 31 confcrmeitient au protocole IP, et delivre une 
sequence' de paquets sortants 32 ayant un en-tete 33 apres avoir effectue 
certains traitements elementaires dont la nature depend des flux de donnees 
concernes. 

Les paquets entrants 30 sont ranges dans une memoire de paquets 35 
10 organisee en pile de type premier entre - premier sorti (FIFO). Chaque paquet 
est foumi a la memoire 35 avec une etiquette de traitement 36. L'etiquette de 
traitement a initialement une valeur determinee (0 dans Texemple represents) 
pour les paquets entrants 30. 

Le processeur de flux est supervise par une unite 37 qui coopere avec 
15 une table 38 permettant d'associer un module de traitement particulier a 
chaque valeur de Tetiquette de traitement. Dans Texemple simplifie represents 
sur la figure 3, le processeur de flux comporte un ensemble de cinq modules 
de traitement M1-M5 operant des traitements elementaires de nature 
differente. 

20 Apres Texecution d'un traitement elementaire. Tunite de supervision 37 

consulte la memoire de paquets 35. Si celle-ci n'est pas vide, un paquet en est 
extrait suivant Torganisation FIFO. Uunite de supervision 37 consulte la table 
38 pour determiner quel module de traitement correspond a Tetiquette de ce 
paquet. Uunite 37 active alors le module en question pour qu'il effectue le 

25 traitement elementaire correspondant. Dans certains cas. ce traitement 
elementaire peut entraTner une modification du contenu du paquet, notamment 
de son en-tete. 

On comprendra que r« extraction » du paquet a laquelle il est fait 
reference est une extraction au sens logique de la memoire FIFO. Le paquet 

30 n'est pas necessairement enleve de la memoire. Les adresses des paquets 
dans la memoire 35 peuvent etre gerees de fagon classique au moyen de 
pointeurs pour respecter Torganisation FIFO. Le module de traitement active 
peut disposer simplement de I'adresse du paquet courant pour effectuer les 
lectures, analyses, modifications ou suppressions requises le cas echeant. 

35 Le premier module de traitement M1, associe a Tetiquette initiale 0, est 

un module de filtrage qui analyse les champs d'adresse et/ou de definition de 
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protocx)le. et/ou de port de I'en-tete IP des paquets. A I'aide d'une table 
d'association T1, le module de filtrage M1 delivre une seconde etiquette de 
traitement qui identifie un enchainement de traitements elementaires qui 
devront ensuite eXre effectues sur le paquet. Apres avoir determine la seconde 

5 etiquette de traitement pour le paquet extrait de'la memoire 35. le' module de 
filtrage M1 range a nouveau le paquet dans la memoire 35. avec la seconde 
etiquette de traitement. Le traitement elementaire suivant sera alors execute au 
moment ou le paquet sera de npuveau extrait de la memoire. 

Le module M2 est un module de comptagejdes paquets relatifs a 

10 certains flux. Dans le cas de la table d'association 38 representee sur la figure 
3. ce module M2 est appele pour les etiquettes de traitement 2 et 4. Lorsqu'il 
traite un paquet, le module M2 incremente un compteur avec le nombre 
d*octets du paquet, ou encore avec la valeur 1 dans le cas d'un compteur de 
paquets. Le compteur peut etre securise. notamment s'il sert a la facturation de 

15 Tabonne par le gestionnaire du reseau 10. Dans le cas d'un compteur securise, 
des requetes sont regulierement faites au fournisseur d'acces pour obtenir des 
credits de transmission, les paquets consideres etant detruits si le credit est 
epuise. 

Le module M3 de la figure 3 est un module de gestion de priorites. 

20 Dans le cas de la table d'association 38 representee sur la figure 3, ce module 
M3 est appele pour I'etiquette de traitement 3. Le module M3 opere sur le 
champ TOS ("Type Of Service") de Ten-tete IP des paquets. Le TOS est utilise 
dans le reseau pour gerer des priorites d'acheminement afin de foumir une 
certaine qualite de service sur certaines liaisons. Le champ TOS peut etre 

25 change selon des tables preenregistrees. Ces tables peuvent etre definies 
sous le controle du fournisseur d'acces pour eviter que des paquets soient 
transmis avec une priorite elevee de fagon inappropriee, ce qui pourrait 
perturber le reseau. 

Le traitement elementaire effectue en dernier sur un paquet de la 

30 memoire 35 est soit sa destruction (module M4 active par Tetiquette 8), soit sa 
remise vers la sortie du processeur de flux (module M5 active par Tetiquette 5 
ou 9). Le module M4 peut etre utilise pour detruire des paquets ayant une 
certaine destination et/ou une certaine provenance. 

Les modules M2 et M3. qui ne terminent pas les traitements a assurer 

35 pour un paquet (sauf cas de destruction), fonctionnent chacun avec une table 
de traduction d'etiquette T2,T3. Cette table de traduction designe. pour 
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Tetiquette de traitement extraite de la memoire 35 avec le paquet courant, une 
autre etiquette de traitement designant le traitement elementaire suivant a 
assurer. Le traitement elementaire assure par ce module M2 ou M3 se termine 
par la mise en association du paquet avec cette autre etiquette de traitement et 

5 la reinjection du paquet ainsi traite dans la memoire 35. 

C'est ainsi qu'on peut effectuer des combinaisons de traitements tres 
variees sur les differents flux de donnees traversant le processeur. 

La figure 4 montre un ejcemple simplifie correspondant aux tables 
38,T1-T3 representees sur la figure 3. Le paquet entrant 30, associe a la 

10 premiere etiquette 0 est d'abord soumis au filtrage opere par le module Ml, 

Dans le cas particulier con'sidere, le processeur de flux 24 compte les 
paquets emis depuis une adresse Jiource AS1 vers une adresse de destination 
AD1 et un port P1, et modifie le champ TOS de ces paquets avant de les 
delivrer sur la ligne 17, ce qui correspond a la branche superieure du graphe 

15 de la figure 4. D'autre part, le procjesseur de flux 24 compte les paquets issus 
d'une adresse de source AS2 vers un port P2 avant de les detruire. ce qui 
correspond a la branche inferieure de la figure 4. Les autres paquets sont 
simplement delivres vers la ligne 17. La valeur par defaut (9) de Tetiquette de 
traitement retournee par le module Ml designe done simplement le module de 

20 sortie M5. Si le module Ml detecte dans le paquet extrait de la memoire 35 la 
combinaison AS1, AD1. PI dans les champs d*adresse et de port pertinents, il 
retourne le paquet avec Tetiquette de traitement 2. Si les valeurs AS2, P2 sont 
detectees dans les champs d'adresse et de port, c'est Tetiquette 4 qui est 
retoumee avec le paquet 

25 Ces etiquettes 2 et 4 correspondent toutes deux au module de 

comptage M2. Uetiquette va egalement designer pour ce module Fadresse 
memoire du compteur devant etre increments. La table T2 avec laquelle 
fonctionne le module M2 permettra en fin de traitement d'effectuer le renvoi 
vers le module suivant a activer (M3 designe par I'etiquette 3 pour les paquets 

30 dont le TOS doit etre change. M4 designe par I'etiquette 8 pour les paquets a 
detruire). 

Le module M3 re9oit des paquets avec Tetiquette de traitement 3, et les 
retourne avec Tetiquette 9 apres avoir opere la modification requise du champ 
TOS. 

35 A partir de cet exemple simplifie. on voit que le processeur de flux 

permet. a partir de Tidentification d'un flux par le module de filtrage M1. 
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d'effectuer diverses combinaisons de traitements elementaires d*une maniere 
relativement simple et rapide. 

Un avantage principal de cette fa^on de proceder est la souplesse des 
operations de configuration du processeur de flux. Les tables 38»T1-T3 qui 

5 definissent un graphe quelconque de traitements elementaires, tel que celui 
represents sur la figure 4. peuvent etre construites de maniere relativement 
simple et avec'une faible contrainte de temps reel au moyen de Tunite de 
gestion 36 a travers TAPL II en. est de meme pour les informations permettant 
aux modules M1-M5 d'effectuer leurs traitements 'elementaires (description des 

10 comptages a operer par le module M2, fa9on de changer les champs TOS par 
le module M3. ...). 

Dans la pratique, le processeur de flux pourra comprendre divers 
modules de traitement autres que ceux representes a^ titre d'exemple sur les 
figures 3 et 4, suivant les besoins de chaque installation particuliere (par 

15 exemple, module de gestion des files d'attente de sortie, module de traduction 
d'adresses, ...). 

La fonction de signature des paquets emis, decrite precedemment, 
peut faire partie du traitement elementaire assure par le module de sortie M5. 
Dans une realisation typique du routeur d'acces, le processeur de flux 24 sera 

20 inclus dans un circuit integre d'application specifique (ASIC) organise autour 
d'un coeur de microcontroleur. Cette realisation permet qu'il n'y ait aucun acces 
physique entre les modules de controle de flux 39 (du moins ceux qui 
concernent les relations entre Tabonne et le gestionnaire du reseau 10) et le 
module M5 qui se charge de la signature des paquets. correspondant au bloc 

25 40 de la figure 1. Ceci ameliore la securite de la liaison du point de vue du 
gestionnaire du reseau. 
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REVEN DICATIONS 



1. Dispositif de traitement d'une sequence de paquets d'information. 

caracterise en ce qu'il comprend une memoire de paquets (35), organisee en 
pile, dans laquelle les paquets (30) de la sequence sont ranges en association 
avec des etiquettes de traitement respectives (36), un ensemble de modules 
de traitement (M1-M5). et des moyens de supervision (37) recevant I'etiquette 
de traitement associee a chaque paquet ektrait de la memoire de paquets et 
activant Tun des modules de traitement selectionne en fonction de I'etiquette 
regue. le module active assurant un traitement elementaire du paquet extrait. et 
en ce que le traitement elementairje assure par au moins un des modules de 
traitement (M2,M3) comporte la mise en association du paquet extrait avec une 



etiquette modifiee conformement a 



une table de traduction d'etiquettes (T2,T3), 



le paquet traite etant ensuite range a nouveau dans la memoire de paquets 
(35) en association avec Tetiquette modifiee. 

2. Dispositif selon la revendication 1, dans lequel une premiere 
etiquette de traitement est associee initialement a chaque paquet (30) de la 
sequence, dans lequel les moyens de supervision (37) activent un module de 
filtrage (M1) faisant partie de I'ensemble de modules de traitement en reponse 
a la reception de la premiere etiquette de traitement, et dans lequel le 
traitement elementaire assure par le module de filtrage comporte une analyse 
d'un en-tete du paquet extrait et la mise en association du paquet avec une 
seconde etiquette de traitement dependant du resultat de Tanalyse. 

3. Dispositif selon la revendication 1 ou 2. dans lequel de I'ensemble 
de modules de traitement comprend un module de sortie (M5) qui transmet le 
paquet extrait vers une sortie du dispositif. avec une signature basee sur un 
secret partage avec un routeur de concentration (12) d'un reseau de 
telecommunication (10). authentifiant que le paquet a ete soumis aux 
traitements effectues par le dispositif (24). 

4. Precede de traitement d'une sequence de paquets d'information, 
caracterise en ce qu'on range les paquets (30) de la sequence dans une 
memoire de paquets (35) organisee en pile, en association avec des etiquettes 
de traitement respectives (36), on examine Tetiquette de traitement associee a 
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chaque paquet extrait de la memoire de paquets pour activer un module de 
traitement selectionne en fonction de Tetiquette repue parmi un ensemble de 
modules de traitement (M1-M5). le module active assurant un traitement 
elementaire du paquet extrait. et en ce que le traitement elementaire assure 
5 par au moins un des modules de traitement (M2,M3) comporte la mise en 
association du paquet extrait avec une etiquette modifiee confomnement a une 
table de traduction d'etiquettes (T2J3), le paquet traite etant ensuite range a 
nouveau dans la memoire de paquets en association avec Tetiquette modifiee. 

5. Precede selon la revendication 4. dans lequel, apres avoir ete 

10 soumis a differents traitements elementaires, chaque paquet est delivre avec 
une signature basee sur un secret partage avec un routeur de concentration 
(12) d'un reseau de telecommunication (10), authentifiant que le paquet a ete 
soumis auxdits traitements elementaires. 
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